Drift Protocol-hacket: $285M Solana DeFi-exploit via sex månaders social engineering
Drift Protocol säger att deras Solana DeFi-exploit den 1 april 2026 drevs av sex månaders social ingenjörskonst, inte av en enkel smartkontraktbugg. Incidenten resulterade i att cirka 285 miljoner dollar stals från protokollet.
Drift rapporterar att de har fryst återstående protokollfunktioner, tagit bort komprometterade plånböcker från sin multisig och delat angriparadresser med börser och bridge-operatörer. Mandiant genomför en fullständig rättsmedicinsk utredning.
Hur angriparna fick åtkomst: hotaktörer utgav sig för att vara ett kvantitativt tradingföretag och började bedriva personliga angrepp mot specifika Drift-bidragsgivare på stora krypto-konferenser hösten 2025. Mellan december 2025 och januari 2026 hjälpte de till att onboarda en ”Ecosystem Vault”, satte in över 1 miljon dollar och deltog i arbetsmöten för att bygga förtroende.
Drift beskriver två sannolika kompromissvägar för att ta över multisig-signatarer (alla signatarer är kalla plånböcker):
1) En bidragsgivare klonade ett repository som tillhandahölls för att distribuera en vault-frontend. Artikeln nämner ett potentiellt VSCode/Cursor-fönster (dec 2025–feb 2026) som möjliggjorde tyst godtycklig kodexekvering.
2) En annan bidragsgivare laddade ner en skadlig TestFlight-app utklädd till en ny plånboksprodukt. Efter 1 april-exploiten raderade angriparna tydligen Telegram-chattloggen och tog bort skadlig programvara.
TRM Labs säger att gruppen använde komprometterad åtkomst för att exekvera förunderskrivna transaktioner. De listade en fabricerad kollateralasset, CarbonVote Token (CVT), vilket möjliggjorde snabb tömning av verkliga tillgångar inklusive USDC och JLP inom minuter.
Attribution: Drift och SEAL 911 bedömer med medel-hög tilltro att angriparna är kopplade till den DPRK-statligt affilierade gruppen UNC4736 (AppleJeus/Citrine Sleet), tidigare knuten till Radiant Capital-hacket i oktober 2024. TRM Labs och Elliptic styrker också detta baserat på penningtvättsmetoder och nätverksindikatorer.
Drift uppmanar andra team att granska multisig-åtkomst och kontakta SEAL 911 om liknande målinriktning misstänks.
Bearish
Meddelandet betonar att högvärdiga Solana DeFi-protokoll fortfarande kan brytas igenom på multisig-kalla plånboksnivån genom "social engineering + enhets-/kontointrång", vilket lett till förluster i storleksordningen hundratals miljoner dollar. På kort sikt tenderar sådana händelser att utlösa en omvärdering av plattformssäkerhet: handlare kan minska exponering mot liknande DeFi, kräva större rabatt för broar, förvarslösningar och multisig-mechanismer, och när riskaptiten sjunker tenderar kapital att flytta mot mer likvida eller mer isolerade tillgångar.
Jämfört med tidigare liknande fall av "riktad social engineering som leder till multisig-förlust" (t.ex. fall där on-chain-tillgångar snabbt togs ut genom förfalskade säkerheter/försignerade transaktioner), leder det vanligtvis till:
- Ökade förväntningar på tillsyn/revision och brådskande uppgraderingar på projektnivå;
- Relaterade tokens (eller andra i samma ekosystem) pressas under händelsefönstret;
- Men på medellång till lång sikt, om utredningen är tillräcklig, patchar införs och kompensations-/frysningsmekanismer är tydliga, kan marknaden gradvis återställa riskpremien.
Därför, även om Drift har fryst funktioner och offentliggjort tekniska detaljer, pekar egenskaperna "stor skala + tydlig attribuering till en högresursmotståndare" snarare mot kortsiktig negativ påverkan.